亚马逊云科技上的 LTE 和 5G 数据网络突破设计

当通信服务提供商 (CSP) 在亚马逊云科技上部署长期演进 (LTE) 或 5G 网络功能时，他们将通过 SGi（用于 LTE）或 N6（用于 5G）接口为用户平面数据网络突破提供不同的选项。3GPP 将 SGi 接口定义为分组数据网络 (PDN) 网关（S-GW 和 P-GW）与数据网络之间的参考点。此外，N6 被定义为用户平面功能 (UPF) 和数据网络之间的参考点。PDN 可以是公共外部（例如互联网）数据网络、私有数据包数据网络（例如 VPN）或运营商内部数据包数据网络。

这篇文章介绍了非漫游场景下亚马逊云科技上LTE或5G UPF的数据网络突破选项。UPF 一词是指 3GPP TS 29.244 中提到的 SGW-U、PGW-U、TDF-U 和 UPF 等节点。在本文档中，PGW-U 将被称为 P-GW。

Figure 1- The SGi interface between the PDN Gateway, the P-GW, and data network (Internet) for LTE

图 1：PDN 网关、P-GW 和 LTE 数据网络（互联网）之间的 SGi 接口

Figure 2- The N6 interface between the UPF and data network (Internet) for a 5G

图 2：5G 的 UPF 和数据网络（互联网）之间的 N6 接口

解决方案设计

亚马逊云科技上的 LTE 或 5G 网络由 CSP 作为公共网络或私有网络运营。每种网络类型可以处理不同类型的用例：增强型移动宽带（eMBB）通常与公共网络的消费市场有关；对延迟有严格要求的超可靠低延迟通信（URLLC），例如与自动驾驶汽车相关的用例，以及涉及支持大量发送数据的设备的大规模机器类型通信（mmTC）。无论涉及哪种用例，用户平面流量都将涉及退出 P-GW 或 UPF 以终止应用程序。在亚马逊云科技上运行网络函数时，有不同的方法可以访问数据网络。我们使用5G UPF函数作为参考来讨论不同的突破架构。

设计 1：通过亚马逊云科技互联网网关突破用户平面进入公共数据网络（例如互联网）

Design 1: User plane breakout to public data network (e.g., Internet) via AWS Internet Gateway

From the previous architecture, N3 traffic arrives from on-premises to the UPF on 亚马逊云科技. The UPF will do a NAT to translate the user equipment IP (UEIP) to the UPF ENI IP before sending out to N6 interface. The N6 user plane traffic breakout goes to a public data network, the Internet, via 亚马逊云科技 Internet Gateway (IGW). An IGW is a horizontally scaled, redundant, and highly available Virtual Private Cloud (VPC) component that allows communication between the VPC and the Internet. It supports IPv4 and IPv6 traffic. The UPF in this architecture has one or more assigned Public IP addresses (e.g., Elastic IP Address) for N6 traffic to reach the Internet destination. The VPC routing table for the N6 Elastic Network Interface (ENI) subnet has the IGW as the next hop for the Internet traffic destination.

设计 2：用户平面通过 CSP 的本地网络突破到公共数据网络（例如互联网）

Design 2: User plane breakout to public data network (e.g., Internet) via CSP’s on-premises network

该设计显示了路由回本地网络的 N6 流量。这种方法限制了进出位于亚马逊云科技上的 UPF 的用户飞机流量。使用此类架构的 CSP 可以继续利用其现有的 ISP 互联网连接或与企业客户建立的私有连接。N6 ENI 子网的 VPC 路由表将亚马逊云科技 Transit Gateway 作为互联网流量目标的下一跳。在传输网关上，N6 数据网络流量将路由回 N6 虚拟路由和转发 (VRF) 分段，到达本地。

设计 3：用户飞机通过亚马逊点对点 VPN 突破到私有数据网络

以前的架构通常适用于私有网络用例，其中，来自 UPF 的 N6 流量通过使用亚马逊云科技站点到站点 VPN 或 VPN 设备的安全 VPN 连接终止到第三方位置。亚马逊云科技点对点 VPN 服务可以使用虚拟私有网关或亚马逊云科技端的传输网关建立。有关设置点对点 VPN 的更多详细信息可以在这里找到。应考虑到亚马逊云科技点对点 VPN 的单个 VPN 连接的带宽容量，即 1.25Gbps。但是，多个 VPN 隧道的等价多路径 (ECMP) 可能会增加所需的总带宽流量。

设计 4：通过 VPC 对等互连将用户层面突破到亚马逊云科技上的私有数据网络

Design 4: User plane breakout to private data network on AWS via VPC Peering

以前的架构也是私有网络用例的典型特征，其中 5G 网络功能和用例应用程序都在各自的 VPC 上运行亚马逊云科技。两个 VPC 使用 VPC 对等互连互连。VPC 对等连接是两个 VPC 之间的网络连接，允许使用私有 IPv4 地址或 IPv6 地址在它们之间进行流量路由。任一 VPC 中的实例或工作线程可以像在同一个网络中一样相互通信。当 N3 流量从本地到达亚马逊云科技上的 UPF 时，UPF 将执行 NAT，将 UEIP 转换为 UPF ENI IP，然后再发送到 N6 接口。来自 UPF 的 N6 数据网络流量使用 VPC 对等作为下一跳路由到应用程序 VPC。通过将网络功能 VPC 与应用程序 VPC 的 Amazon Route53 私有托管区域关联来解析完全限定域名 (FQDN) 应用程序地址。

设计 5：用户平面通过 Transit Gateway 突破到亚马逊云科技上的私有数据网络

Design 5: User plane breakout to private data network on AWS via Transit Gateway

上面的架构是私有网络的另一个典型用例。5G 网络功能和用例应用程序均在亚马逊云科技上各自的 VPC 上运行。这两个 VPC 使用传输网关通过 VPC 连接进行互连。有关 VPC 连接的更多详细信息可以在这里找到。来自 UPF 的 N6 数据网络流量作为下一跳通过 Transit Gateway 路由到应用程序。通过将网络功能 VPC 与应用程序 VPC 的 Route53 私有托管区域关联来解析 FQDN 应用程序地址。与 VPC 对等连接不同，传输网关允许传递路由。

设计 6：通过亚马逊云科技资源访问管理器使用子网共享将用户层面突破到亚马逊云科技上的私有数据网络

Design 6: User plane breakout to private data network on AWS using subnet sharing via AWS Resource Access Manager

先前的架构是另一个私有网络用例，其中来自一个账户上运行的 UPF 的 N6 数据网络流量被发送到在另一个账户上运行的应用程序。UPF 的 N6 接口和应用程序接口都位于同一个子网上。使用亚马逊云科技资源访问管理器 (亚马逊云科技 RAM) ，可以通过创建资源共享来实现子网共享。VPC 所有者，即网络函数 VPC，与应用程序账户共享一个子网。共享后，应用程序账户可以访问子网并启动 VPC 资源。有关子网共享的更多信息可以在这里找到。